Auditní důkazy ISO 27001 pro NIS2 a DORA
Je úterý 08:17 a CISO rychle rostoucí fintech společnosti poskytující SaaS má tři nevyřízené zprávy.
První je od významného bankovního zákazníka: „Zašlete prosím poslední zprávu z interního auditu, zápisy z přezkoumání vedením, stav nápravných opatření, postup hlášení incidentů, registr dodavatelů a důkazy o dohledu vedoucího orgánu.“
Druhá je od CFO: „Spadáme do působnosti NIS2 nebo DORA a jaké důkazy už máme?“
Třetí je od CEO: „Můžeme říct, že jsme připraveni na audit?“
Nepříjemná odpověď v mnoha organizacích nezní, že se nic neděje. Ještě horší je, že bezpečnostní práce probíhá všude, ale důkazy nejsou nikde. Opatření existují, ale chybí auditní stopa. Existují tikety, ale není zřejmá vazba na rizika. Vedení dostává aktualizace, ale neexistují formální výstupy přezkoumání vedením. Probíhají diskuse s dodavateli, ale chybí obhajitelný registr dodavatelů, přezkum smluv nebo strategie ukončení spolupráce.
Právě v této mezeře se interní audit a přezkoumání vedením podle ISO/IEC 27001:2022 stávají něčím víc než certifikačními aktivitami. Stávají se provozním rytmem pro NIS2, DORA, GDPR, ujištění zákazníků, kybernetické pojištění a odpovědnost vedoucích orgánů.
Týmy v oblasti SaaS, cloudu, MSP, MSSP a fintechu zřídka selhávají proto, že by jim chyběla bezpečnostní činnost. Selhávají proto, že je tato činnost rozptýlena ve Slacku, Jira, tabulkách, portálech dodavatelů, tiketech SOC, dokumentaci nákupu a prezentacích pro vedoucí orgán. Regulační orgán, externí auditor ani podnikový zákazník nechce hrdinské vysvětlování. Chce objektivní důkazy.
Praktickým řešením není provozovat samostatné auditní programy pro každý rámec. Řešením je použít ISMS podle ISO 27001 jako centrální důkazní mechanismus a tyto důkazy následně označovat pro NIS2, DORA, GDPR a smluvní požadavky. Je-li to provedeno správně, jeden cyklus interního auditu a jedno přezkoumání vedením mohou odpovědět na mnoho otázek souladu.
Od únavy z rámců k jednotnému důkaznímu modelu ISMS
Mnoho CISO řeší určitou verzi Mariina problému. Maria vede bezpečnost v B2B SaaS společnosti se zákazníky z finančního sektoru. Její tým před šesti měsíci úspěšně prošel certifikačním auditem ISO/IEC 27001:2022. ISMS dospívá, politiky se dodržují a vlastníci bezpečnostních opatření rozumějí svým odpovědnostem. Poté CEO přepošle dva články, jeden o směrnici NIS2 a jeden o DORA, s krátkou otázkou: „Jsme pokrytí?“
Odpověď závisí na rozsahu, službách, zákaznících a právnických osobách. Provozní odpověď je však jasná: pokud bude Maria přistupovat k NIS2 a DORA jako k samostatným projektům souladu, vytvoří duplicitní práci, nekonzistentní důkazy a rostoucí únavu z auditů. Pokud je pojme jako požadavky zainteresovaných stran v rámci ISMS, může použít ISO 27001 k jejich začlenění, otestování a doložení připravenosti.
ISO/IEC 27001:2022 je k tomu navržena. Kapitola 4 vyžaduje, aby organizace porozuměla svému kontextu a požadavkům zainteresovaných stran, včetně právních, regulačních, smluvních povinností a povinností vyplývajících ze závislostí. Kapitola 5 vyžaduje zapojení vedení a integraci do obchodních procesů. Kapitola 6 vyžaduje posouzení rizik a ošetření rizik. Kapitola 9 vyžaduje hodnocení výkonnosti prostřednictvím monitorování, interního auditu a přezkoumání vedením. Kapitola 10 vyžaduje zlepšování a nápravná opatření.
NIS2 a DORA do této struktury přirozeně zapadají.
NIS2 vyžaduje, aby základní a důležité subjekty zavedly přiměřená a proporcionální technická, provozní a organizační opatření pro řízení kybernetických rizik. Zároveň ukládá odpovědnost vedoucím orgánům za schvalování těchto opatření, dohled nad jejich zaváděním a možnost nést odpovědnost za porušení povinností. Minimální opatření zahrnují analýzu rizik, zvládání incidentů, kontinuitu provozu, zabezpečení dodavatelského řetězce, bezpečný vývoj, zvládání zranitelností, posouzení účinnosti, školení, kryptografii, personální bezpečnost, řízení přístupu, správu aktiv a případně vícefaktorovou autentizaci nebo průběžnou autentizaci.
DORA se uplatní od 17. ledna 2025 a zavádí sektorově specifický režim digitální provozní odolnosti pro finanční subjekty. Vyžaduje odpovědnost vedoucího orgánu za řízení rizik v oblasti ICT, dokumentovaný rámec řízení rizik v oblasti ICT, strategii digitální provozní odolnosti, plány kontinuity ICT a obnovy, testování odolnosti, řízení incidentů ICT a řízení rizik třetích stran v oblasti ICT. U poskytovatelů SaaS a cloudových služeb obsluhujících finanční subjekty se DORA může projevit prostřednictvím smluvních povinností, zákaznických auditů a očekávání v oblasti řízení rizik třetích stran v ICT, i když poskytovatel sám není finančním subjektem.
GDPR přidává vrstvu odpovědnosti. Pokud se v rozsahu GDPR zpracovávají osobní údaje, organizace musí být schopna prokázat soulad se zásadami ochrany osobních údajů a přiměřenými technickými a organizačními opatřeními.
ISO 27001 není kouzelný certifikát souladu pro tyto povinnosti. Je to systém řízení, který je dokáže uspořádat, doložit a zlepšovat.
Otázka rozsahu: co prokazujete a komu?
Před vytvořením důkazního balíčku připraveného na audit musí vedení odpovědět na základní otázku: které povinnosti jsou v rozsahu?
U SaaS a cloudových společností může být rozsah NIS2 širší, než se očekává. NIS2 se vztahuje na veřejné nebo soukromé subjekty v uvedených odvětvích, které splňují velikostní prahy, a na určité vysoce významné subjekty bez ohledu na velikost. Relevantní odvětví mohou zahrnovat digitální infrastrukturu, poskytovatele cloudových služeb, poskytovatele služeb datových center, sítě pro doručování obsahu, poskytovatele služeb vytvářejících důvěru, poskytovatele veřejných elektronických komunikací a poskytovatele správy ICT služeb pro B2B, jako jsou poskytovatelé řízených služeb a poskytovatelé řízených bezpečnostních služeb. Poskytovatelé SaaS by měli věnovat zvýšenou pozornost tomu, jak jsou služby poskytovány, která odvětví podporují a zda umožňují správu na vyžádání a široký vzdálený přístup ke škálovatelným sdíleným výpočetním zdrojům.
U fintech společností a poskytovatelů služeb pro finanční sektor musí být DORA analyzována samostatně. DORA se přímo vztahuje na širokou škálu finančních subjektů, včetně úvěrových institucí, platebních institucí, poskytovatelů služeb informování o účtu, institucí elektronických peněz, investičních podniků, poskytovatelů služeb souvisejících s kryptoaktivy, obchodních systémů, správců fondů, pojišťoven a zajišťoven a poskytovatelů služeb skupinového financování. Poskytovatelé služeb třetích stran v oblasti ICT jsou také součástí ekosystému DORA, protože finanční subjekty musí řídit své závislosti v oblasti ICT, vést registry smluvních ujednání a zahrnovat konkrétní smluvní ustanovení pro ICT služby podporující kritické nebo důležité funkce.
NIS2 a DORA se také vzájemně ovlivňují. Pokud sektorově specifický právní akt EU ukládá rovnocenné požadavky na řízení kybernetických rizik nebo oznamování incidentů, odpovídající ustanovení NIS2 se na tyto subjekty v těchto oblastech nemusí použít. DORA je sektorově specifický režim provozní odolnosti pro finanční subjekty. To neznamená, že NIS2 je irelevantní pro všechny okolní poskytovatele. Znamená to, že důkazní model musí rozlišit, zda je organizace finančním subjektem přímo podléhajícím DORA, poskytovatelem služeb třetí strany v oblasti ICT podporujícím finanční subjekty, poskytovatelem SaaS v rozsahu NIS2, nebo skupinou s více právnickými osobami a liniemi služeb.
Tato analýza rozsahu patří do kontextu ISMS a registru zainteresovaných stran. Bez ní bude plán auditů testovat nesprávné věci.
Jedna auditní stopa, mnoho otázek souladu
Častou chybou je vytvářet samostatné důkazní balíčky pro ISO 27001, NIS2, DORA, GDPR, kybernetické pojištění a zákaznické audity. Tento přístup vytváří duplicity a protichůdné odpovědi. Lepším přístupem je jeden důkazní model s více pohledy.
Uprostřed stojí ISMS. Kolem něj je pět rodin důkazů.
| Rodina důkazů | Co prokazuje | Typické záznamy |
|---|---|---|
| Důkazy o správě a řízení | Vedení ISMS schválilo, zajistilo zdroje a přezkoumalo | politika bezpečnosti informací, role, plán auditů, zápisy z přezkoumání vedením, reporting vedoucímu orgánu |
| Důkazy o rizicích | Rizika byla identifikována, posouzena, přiřazena vlastníkům a ošetřena | kritéria rizik, registr rizik, plán ošetření rizik, prohlášení o použitelnosti, schválení zbytkových rizik |
| Důkazy o opatřeních | Opatření fungují podle návrhu | přezkum přístupových práv, testy záloh, upozornění z monitorování, zprávy o zranitelnostech, náležitá péče o dodavatele, záznamy bezpečného vývoje |
| Důkazy o zajištění | Nezávislé nebo interní kontroly zjistily mezery a ověřily shodu | plán interního auditu, kontrolní seznam auditu, zpráva z auditu, evidence neshod, evidence CAPA |
| Důkazy o zlepšování | Zjištění vedla k opravě, analýze kořenové příčiny a neustálému zlepšování | plány nápravných opatření, získané poznatky, rozhodnutí vedení, aktualizované politiky, záznamy o opakovaném testování |
Tato struktura je v souladu s Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint. Ve fázi Audit, Review & Improvement se Step 25 zaměřuje na program interních auditů, Step 26 na provedení auditu, Step 28 na přezkoumání vedením a Step 29 na neustálé zlepšování.
Doporučení Blueprintu pro Step 25 je záměrně praktické:
„Vytvořte harmonogram, který vymezuje, kdy budou audity probíhat a co budou pokrývat.“
„Použijte šablonu plánu interního auditu, pokud je k dispozici; může jít o jednoduchý dokument nebo tabulku se seznamem termínů auditů, rozsahem a přiřazenými auditory.“
Z Zenith Blueprint, fáze Audit, Review & Improvement, Step 25: Internal Audit Program Zenith Blueprint
Tento jednoduchý plán auditů se stává účinným nástrojem, když je založen na rizicích a označen vazbami na povinnosti NIS2, DORA a GDPR.
Opatření ISO 27001, která ukotvují připravenost na audit
Pro připravenost na audit jsou zvlášť důležitá tři opatření ISO/IEC 27002:2022, pokud jsou vykládána prostřednictvím Zenith Controls: The Cross-Compliance Guide Zenith Controls:
- 5.4 Odpovědnosti vedení
- 5.35 Nezávislý přezkum bezpečnosti informací
- 5.36 Soulad s politikami, pravidly a normami bezpečnosti informací
Nejde o samostatná „opatření Zenith“. Jsou to opatření ISO/IEC 27002:2022, která Zenith Controls pomáhá mapovat, auditovat a vykládat napříč rámci.
Opatření 5.4 se ptá, zda jsou odpovědnosti v oblasti bezpečnosti informací přiřazeny a pochopeny. Opatření 5.35 se ptá, zda je bezpečnost informací nezávisle přezkoumávána. Opatření 5.36 se ptá, zda organizace dodržuje své politiky, pravidla a normy.
Zenith Controls klasifikuje opatření 5.35 způsobem orientovaným na zajištění:
Opatření ISO/IEC 27002:2022 5.35 „Independent Review of Information Security“ je v Zenith Controls chápáno jako „Preventive, Corrective“, podporující důvěrnost, integritu a dostupnost prostřednictvím konceptů kybernetické bezpečnosti „Identify“ a „Protect“, s provozní schopností v oblasti „Information Security Assurance“. Zenith Controls
To je důležité, protože interní audit je preventivní i nápravný. Předchází slepým místům tím, že testuje ISMS před externí kontrolou, a napravuje slabiny prostřednictvím dokumentovaných opatření.
Širší mapování začíná požadavky NIS2 a DORA a následně identifikuje důkazy ISO 27001, které je mohou prokázat.
| Regulační téma | Důkazy podle ISO/IEC 27001:2022 a ISO/IEC 27002:2022 | Praktické zaměření auditu |
|---|---|---|
| Odpovědnost vedení | Kapitoly 5, 9.3 a opatření 5.2, 5.4, 5.35, 5.36 | Schválení vedením, zápisy z přezkoumání, přiřazení rolí, rozhodnutí CAPA |
| Analýza rizik a bezpečnostní politiky | Kapitoly 4, 6.1, 6.2 a opatření 5.1, 5.7, 5.9, 5.31 | Kritéria rizik, registr rizik, schválení politik, právní a smluvní požadavky |
| Zvládání incidentů | Opatření 5.24, 5.25, 5.26, 5.27, 5.28 | Klasifikace, eskalace, záznamy reakce, získané poznatky, uchování důkazů |
| Kontinuita provozu a obnova | Opatření 5.29, 5.30, 8.13 | Plány kontinuity, připravenost ICT, testy obnovy ze záloh, metriky obnovy |
| Dodavatelské a cloudové riziko | Opatření 5.19, 5.20, 5.21, 5.22, 5.23 | Prověrka dodavatelů, smlouvy, monitorování, plány ukončení cloudových služeb, riziko koncentrace |
| Bezpečný vývoj a zranitelnosti | Opatření 8.8, 8.25, 8.26, 8.27, 8.28, 8.29 | SLA pro zranitelnosti, záznamy bezpečného SDLC, schválení změn, bezpečnostní testování |
| Přístup, HR a školení | Opatření 5.15, 5.16, 5.17, 5.18, 6.1, 6.2, 6.3, 6.5, 6.6, 6.7 | Přezkum přístupových práv, vzorky nástupů, přesunů a odchodů, záznamy o povědomí, opatření pro práci na dálku |
| Protokolování, monitorování a kryptografie | Opatření 8.15, 8.16, 8.17, 8.24 | Uchovávání logů, přezkum upozornění, synchronizace času, standardy šifrování |
| Ochrana soukromí a právní soulad | Opatření 5.31, 5.34, 5.36 | Registr právních požadavků, opatření ochrany soukromí, důkazy zpracovatele, přezkumy souladu |
Mapování opatření je užitečné pouze tehdy, když jsou důkazy kvalitní. Pokud je záznam slabý, žádné mapování jej nezachrání. Pokud je záznam úplný, stejné důkazy mohou odpovědět na otázky ve stylu ISO, NIS2, DORA, GDPR, NIST Cybersecurity Framework 2.0 a COBIT 2019.
Důkazy podle politik, které Clarysec očekává, že organizace budou uchovávat
Politiky Clarysec převádějí teorii ISMS do důkazních očekávání.
Pro SME vyžaduje Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy-sme schválení vedením a auditní disciplínu:
„General Manager (GM) musí schválit každoroční plán auditů.“
Z Audit and Compliance Monitoring Policy-sme, požadavky na správu a řízení, kapitola 5.1.1 Audit and Compliance Monitoring Policy-sme
Stanovuje také minimální periodicitu:
„Interní audity nebo přezkumy souladu musí být prováděny nejméně jednou ročně.“
Z Audit and Compliance Monitoring Policy-sme, požadavky na správu a řízení, kapitola 5.2.1
A propojuje zjištění s opravou a přezkoumáním vedením:
„GM musí schválit plán nápravných opatření a sledovat jeho implementaci.“
Z Audit and Compliance Monitoring Policy-sme, požadavky na správu a řízení, kapitola 5.4.2
„Zjištění auditu a aktualizace stavu musí být zahrnuty do procesu přezkoumání ISMS vedením.“
Z Audit and Compliance Monitoring Policy-sme, požadavky na správu a řízení, kapitola 5.4.3
Uchovávání důkazů je také výslovné:
„Důkazy musí být uchovávány nejméně dva roky, nebo déle, pokud to vyžadují certifikace nebo klientské dohody.“
Z Audit and Compliance Monitoring Policy-sme, požadavky na implementaci politiky, kapitola 6.2.4
U větších organizací rozšiřuje strukturu Audit and Compliance Monitoring Policy Audit and Compliance Monitoring Policy, v některých materiálech Clarysec označovaná také jako P33 Audit and Compliance Monitoring Policy:
„Plán auditů založený na rizicích musí být vypracován a schválen každoročně, přičemž zohlední:“
Z Audit and Compliance Monitoring Policy, požadavky na správu a řízení, kapitola 5.2 Audit and Compliance Monitoring Policy
„Organizace musí vést registr auditů obsahující:“
Z Audit and Compliance Monitoring Policy, požadavky na správu a řízení, kapitola 5.4
„Interní audity musí postupovat podle dokumentovaného postupu zahrnujícího:“
Z Audit and Compliance Monitoring Policy, požadavky na implementaci politiky, kapitola 6.1.1
„Všechna zjištění musí vyústit v dokumentovaná CAPA, která zahrnují:“
Z Audit and Compliance Monitoring Policy, požadavky na implementaci politiky, kapitola 6.2.1
Přezkoumání vedením je ukotveno v Information Security Policy Information Security Policy, v některých materiálech Clarysec označované také jako P01 Information Security Policy:
„Činnosti přezkoumání vedením (podle ISO/IEC 27001 kapitola 9.3) musí být prováděny nejméně jednou ročně a musí zahrnovat:“
Z Information Security Policy, požadavky na správu a řízení, kapitola 5.3 Information Security Policy
Tyto požadavky vytvářejí důkazní řetězec, který auditoři očekávají: schválený plán, definovaný postup, registr auditů, zjištění, CAPA, uchovávání a přezkoumání vedením.
Vytvoření důkazního balíčku připraveného na audit
Důkazní balíček připravený na audit není obří složka vytvořená dva dny před auditem. Je to živá struktura udržovaná po celý rok.
| Důkazní položka | Účel podle ISO 27001 | Relevance pro NIS2 a DORA |
|---|---|---|
| Rozsah ISMS a registr zainteresovaných stran | Prokazuje, že jsou identifikovány právní a smluvní požadavky i požadavky vyplývající ze závislostí | Podporuje vymezení subjektu podle NIS2, analýzu role podle DORA a odpovědnost podle GDPR |
| Kritéria rizik a registr rizik | Prokazuje konzistentní posouzení rizik a vlastnictví rizik | Podporuje opatření řízení rizik podle NIS2 a rámec řízení rizik v oblasti ICT podle DORA |
| Prohlášení o použitelnosti | Prokazuje vybraná opatření, odůvodnění a stav implementace | Vytváří konsolidovaný základní soubor bezpečnostních opatření pro průřezový soulad |
| Každoroční plán interního auditu | Prokazuje plánované zajištění | Podporuje dohled vedení a plánování auditů ICT podle DORA |
| Kontrolní seznam interního auditu | Prokazuje auditní kritéria a metodu vzorkování | Dokládá, jak byly testovány požadavky NIS2, DORA a GDPR |
| Zpráva z auditu a evidence zjištění | Prokazuje objektivní důkazy a neshody | Podporuje posouzení účinnosti a regulační ujištění |
| Evidence CAPA | Prokazuje kořenovou příčinu, vlastníka, termín splnění a uzavření | Podporuje nápravná opatření podle NIS2 a nápravu podle DORA |
| Balíček pro přezkoumání vedením | Prokazuje přezkoumání výkonnosti, incidentů, rizik a zdrojů vedením | Podporuje odpovědnost vedoucích orgánů podle NIS2 a DORA |
| Registr dodavatelů a smluvní důkazy | Prokazuje řízení rizik třetích stran | Podporuje zabezpečení dodavatelského řetězce podle NIS2 a řízení rizik třetích stran v oblasti ICT podle DORA |
| Záznamy o hlášení incidentů a získaných poznatcích | Prokazují reakci a zlepšování | Podporují fázované hlášení podle NIS2 a řízení incidentů podle DORA |
Důkazní balíček má být mapován na kapitoly ISO/IEC 27001:2022 a opatření přílohy A a zároveň označen podle regulační relevance. Záznam z auditu dodavatele může například podporovat dodavatelská opatření přílohy A, zabezpečení dodavatelského řetězce podle NIS2 a řízení rizik třetích stran v oblasti ICT podle DORA. Záznam z tabletop cvičení incidentu může podporovat řízení incidentů podle ISO 27001, připravenost na fázované oznamování podle NIS2 a řízení závažných incidentů souvisejících s ICT podle DORA.
Jak provést integrovaný interní audit
Step 26 v Zenith Blueprint zdůrazňuje objektivní důkazy:
„Proveďte audit shromažďováním objektivních důkazů ke každé položce kontrolního seznamu.“
„Pohovořte s relevantními pracovníky.“
„Přezkoumejte dokumentaci.“
„Pozorujte postupy.“
„Provádějte vzorkování a namátkové kontroly.“
Z Zenith Blueprint, fáze Audit, Review & Improvement, Step 26: Audit Execution Zenith Blueprint
Přesně to vyžaduje připravenost na NIS2 a DORA. Regulační orgány a zákazníci nepřijmou tvrzení „věříme, že to funguje“. Zeptají se, jak to víte.
Dobře vedený audit testuje čtyři důkazní dimenze.
| Důkazní dimenze | Příklad auditního testu | Kvalitní důkazy |
|---|---|---|
| Návrh | Definuje politika nebo proces požadavek? | Schválená politika, postup, norma, workflow |
| Implementace | Byl proces zaveden? | Tikety, konfigurace, záznamy o školení, záznamy dodavatelů |
| Provozní účinnost | Fungoval proces v čase? | Vzorky za více měsíců, upozornění, záznamy přezkumů, výsledky testů |
| Eskalace do správy a řízení | Vidělo vedení výsledky a jednalo podle nich? | Schválení CAPA, zápisy z přezkoumání vedením, rozhodnutí o rozpočtu |
Uvažujme simulovanou událost ransomwaru na staging serveru. Auditor testuje, zda proces reakce na incidenty dokáže splnit požadavky ISO 27001, očekávání fázovaného hlášení podle NIS2 a zákaznické povinnosti podle DORA.
| Shromážděné důkazy | Relevance pro ISO 27001 | Relevance pro NIS2 | Relevance pro DORA |
|---|---|---|---|
| Log incidentu s počáteční klasifikací a časovým razítkem | Opatření 5.26 reakce na incidenty informační bezpečnosti | Stanoví okamžik zjištění pro oznamovací lhůty | Podporuje identifikaci a protokolování incidentů souvisejících s ICT |
| Eskalace na CSIRT a právního poradce | Opatření 5.25 posouzení událostí bezpečnosti informací a rozhodnutí o nich | Podporuje rozhodování o oznámení významného incidentu | Podporuje interní komunikaci a eskalační postupy |
| Návrh šablony včasného varování | Opatření 5.24 plánování a příprava řízení incidentů | Podporuje schopnost splnit očekávání včasného varování do 24 hodin | Může podporovat připravenost smluvní komunikace |
| Záznam rozhodnutí o obnově ze zálohy | Opatření 5.29, 5.30 a 8.13 | Podporuje důkazy kontinuity provozu a obnovy po havárii | Podporuje očekávání reakce, obnovy a obnovy ze záloh |
| Záznam komunikace s klientem | Opatření 5.20 a 5.22 smlouvy s dodavateli a monitorování služeb dodavatelů | Může podporovat smluvní komunikaci a komunikaci v dodavatelském řetězci | Podporuje povinnosti finančních zákazníků v oblasti rizik třetích stran |
NIS2 má fázovanou strukturu hlášení významných incidentů, včetně včasného varování do 24 hodin od zjištění, oznámení incidentu do 72 hodin a závěrečné zprávy do jednoho měsíce od oznámení incidentu. DORA má vlastní rámec klasifikace a hlášení incidentů souvisejících s ICT pro finanční subjekty. Interní audit má ověřit, že playbooky zachycují čas zjištění, kritéria závažnosti, dotčené služby, indikátory kompromitace, zmírňující opatření, kořenovou příčinu, povinnosti informovat zákazníky a údaje pro závěrečné hlášení.
Přeměna jednoho auditního zjištění na důkazy pro NIS2 a DORA
Realistické zjištění u dodavatele ukazuje, jak mají důkazy plynout.
Během interního auditu auditor vzorkuje pět kritických dodavatelů. Jeden poskytovatel cloudového protokolování podporuje monitorování podvodů a bezpečnostní upozorňování pro fintech platformu. Dodavatel je uveden v inventáři, ale neexistuje dokumentovaný plán ukončení služby, žádný důkaz o každoročním bezpečnostním přezkumu a žádné potvrzení, že smlouva zahrnuje podporu při incidentech nebo práva na audit.
Auditor zaznamená neshodu vůči požadavkům na bezpečnost dodavatelů a ukončení cloudové služby. Slabá reakce by uvedla „chybí přezkum dodavatele“. Silná reakce vytvoří průřezový důkazní řetězec souladu:
- Zaznamenat zjištění ve zprávě z auditu, včetně velikosti vzorku, názvu dodavatele, odkazu na smlouvu a chybějících důkazů.
- Přidat záznam CAPA s kořenovou příčinou, například „kontrolní seznam pro zařazení dodavatele nezahrnoval klasifikaci kritičnosti ani spouštěč plánu ukončení služby“.
- Přiřadit vlastníka dodavatele a vlastníka rizika.
- Aktualizovat registr dodavatelů tak, aby službu označoval jako podporující kritickou nebo důležitou funkci.
- Provést posouzení rizik pokrývající přerušení služby, přístup k datům, riziko koncentrace, závislost při hlášení incidentů a smluvní mezery.
- Aktualizovat plán ošetření rizik a prohlášení o použitelnosti tam, kde je to relevantní.
- Získat aktualizovaný dodatek ke smlouvě nebo dokumentované přijetí rizika.
- Vytvořit nebo otestovat plán ukončení služby.
- Po nápravě znovu auditovat důkazy dodavatele.
- Reportovat zjištění, riziko a potřeby zdrojů v rámci přezkoumání vedením.
Tento jediný řetězec podporuje více povinností. NIS2 očekává zabezpečení dodavatelského řetězce a zohlednění zranitelností dodavatelů, postupů kybernetické bezpečnosti a postupů bezpečného vývoje. DORA vyžaduje, aby finanční subjekty řídily riziko třetích stran v oblasti ICT, vedly registry smluvních ujednání, posuzovaly poskytovatele před uzavřením smlouvy, zahrnovaly práva na audit a kontrolu tam, kde je to vhodné, udržovaly práva na ukončení a dokumentovaly strategie ukončení pro ICT služby podporující kritické nebo důležité funkce. GDPR může být relevantní také tehdy, pokud dodavatel zpracovává osobní údaje.
Auditní záznam už není jen důkazem souladu. Je důkazem odolnosti.
Přezkoumání vedením: kde se důkazy mění v odpovědnost
Interní audit zjišťuje skutečný stav. Přezkoumání vedením rozhoduje, co se s ním udělá.
Step 28 v Zenith Blueprint popisuje vstupní balíček pro přezkoumání vedením:
„ISO 27001 stanoví několik povinných vstupů pro přezkoumání vedením. Připravte stručnou zprávu nebo prezentaci pokrývající tyto body.“
Blueprint uvádí stav předchozích opatření, změny v externích a interních otázkách, výkonnost a účinnost ISMS, incidenty nebo neshody, příležitosti ke zlepšení a potřeby zdrojů.
Z Zenith Blueprint, fáze Audit, Review & Improvement, Step 28: Management Review Zenith Blueprint
Pro NIS2 a DORA je přezkoumání vedením místem, kde se zviditelní odpovědnost na úrovni vedoucího orgánu. Přezkoumání nemá říkat pouze „bezpečnost byla projednána“. Má ukázat, že vedení přezkoumalo:
- Změny v požadavcích NIS2, DORA, GDPR, zákaznických a smluvních požadavcích.
- Změny rozsahu, včetně nových zemí, produktů, regulovaných zákazníků nebo závislostí v oblasti ICT.
- Výsledky interního auditu, včetně závažných a drobných neshod.
- Stav CAPA a opatření po termínu.
- Bezpečnostní cíle a metriky.
- Trendy incidentů, téměř vzniklé incidenty a získané poznatky.
- Rizika koncentrace dodavatelů a cloudových služeb.
- Výsledky testů kontinuity provozu a zálohování.
- Výkonnost v oblasti zranitelností a záplatování.
- Potřeby zdrojů, včetně lidí, nástrojů, školení a rozpočtu.
- Zbytková rizika vyžadující formální přijetí.
- Rozhodnutí o zlepšování a odpovědné vlastníky.
Právě zde může Maria přeměnit technickou zprávu ve strategické ujištění. Místo „našli jsme jednu mezeru v procesu incidentů“ může říci: „Audit identifikoval jednu drobnou neshodu v našich rozhodovacích kritériích pro hlášení incidentů podle NIS2. CAPA aktualizuje postup, doplňuje rozhodovací matici a vyžaduje tabletop cvičení do 30 dnů. Potřebujeme schválení vedením pro právní přezkum a čas na školení.“
Takový záznam podporuje správu a řízení, dohled a obhajitelné rozhodování.
Nápravné opatření: rozdíl mezi zjištěním a vyspělostí
Interní audit bez nápravného opatření je pouze diagnóza.
Step 29 v Zenith Blueprint říká organizacím, aby používaly evidenci CAPA:
„Vyplňte jej každým problémem: popis problému, kořenová příčina, nápravné opatření, odpovědný vlastník, cílové datum dokončení, stav.“
Z Zenith Blueprint, fáze Audit, Review & Improvement, Step 29: Continual Improvement Zenith Blueprint
Zároveň uvádí důležité rozlišení:
„V auditní terminologii: oprava řeší symptom, nápravné opatření řeší příčinu. Obojí je důležité.“
Z Zenith Blueprint, fáze Audit, Review & Improvement, Step 29: Continual Improvement
Pokud chybí důkazy o obnově ze zálohy, opravou může být provést a zdokumentovat test obnovy tento týden. Nápravným opatřením je změnit postup zálohování tak, aby byly testy obnovy plánovány čtvrtletně, automaticky ticketovány, přezkoumány vlastníkem služby a zahrnuty do metrik přezkoumání vedením.
Auditoři tuto vyspělost hledají. Auditor ISO 27001 testuje shodu s ISMS a vybranými opatřeními. Přezkoumávající osoba podle NIS2 se ptá, zda jsou opatření řízení rizik účinná a pod dohledem. Přezkoumávající osoba podle DORA hledá integraci rámce řízení rizik v oblasti ICT, testování odolnosti, řízení závislostí na třetích stranách a nápravu. Hodnotitel NIST Cybersecurity Framework 2.0 se může ptát, zda fungují výsledky v oblastech správy a řízení, identifikace, ochrany, detekce, reakce a obnovy. Auditor COBIT 2019 se může zaměřit na cíle správy a řízení, vlastnictví, ukazatele výkonnosti a zajištění.
Stejný záznam CAPA může uspokojit tyto různé pohledy, pokud obsahuje kořenovou příčinu, vlastníka, dopad na riziko, nápravné opatření, termín splnění, důkaz implementace, přezkum účinnosti a viditelnost pro vedení.
Více pohledů auditora
Různí auditoři čtou stejné důkazy odlišně. Zenith Controls pomáhá tyto otázky předvídat tím, že funguje jako průvodce průřezovým souladem pro opatření ISO/IEC 27002:2022 a související rámce.
| Pohled auditu | Na co se auditor pravděpodobně zeptá | Důkazy, které dobře odpovídají |
|---|---|---|
| Auditor ISO 27001 | Je ISMS plánován, implementován, vyhodnocován a zlepšován podle požadavků ISO/IEC 27001:2022? | Rozsah, posouzení rizik, prohlášení o použitelnosti, plán interního auditu, zpráva z auditu, výstupy přezkoumání vedením, CAPA |
| Přezkoumávající osoba podle NIS2 | Schválilo vedení přiměřená opatření řízení rizik, dohlíželo na ně a dokáže subjekt prokázat jejich účinnost a nápravná opatření? | Zápisy vedoucího orgánu nebo přezkoumání vedením, plán ošetření rizik, playbooky incidentů, přezkumy dodavatelů, záznamy o školení, metriky účinnosti |
| Přezkoumávající osoba podle DORA | Je řízení rizik v oblasti ICT integrováno do správy a řízení, strategie odolnosti, testování, řízení rizik třetích stran a nápravy? | Rámec řízení rizik v oblasti ICT, plán auditů, důkazy testování odolnosti, registr třetích stran, mapování kritických funkcí, záznamy o nápravě |
| Přezkoumávající osoba podle GDPR | Dokáže organizace prokázat odpovědnost za zpracování a zabezpečení osobních údajů? | Inventář dat, záznamy právních základů, smlouvy se zpracovateli, logy porušení zabezpečení, řízení přístupu, důkazy uchovávání, bezpečnostní opatření |
| Hodnotitel NIST CSF 2.0 | Fungují výsledky v oblasti správy a řízení, rizik, ochrany, detekce, reakce a obnovy účinně? | Důkazy o opatřeních mapované na výsledky, logy, monitorování, záznamy incidentů, testy obnovy, opatření ke zlepšení |
| Auditor COBIT 2019 | Jsou cíle správy a řízení, vlastnictví, řízení výkonnosti a činnosti zajištění definovány a monitorovány? | RACI, politiky, KPI, registr auditů, řízení problémů, reporting vedení, záznamy rozhodnutí |
Opatření 5.36 je dobrým příkladem. Auditor ISO 27001 se může zaměřit na to, zda přezkumy souladu probíhají a vstupují do nápravných opatření. Přezkoumávající osoba podle NIS2 se může ptát, zda tyto přezkumy testují právní kybernetická opatření, nejen interní pravidla. Přezkoumávající osoba podle DORA se může zaměřit na to, zda přezkumy souladu zahrnují kritické poskytovatele ICT a smluvní vymahatelnost.
Proto musí být důkazy od počátku navrženy pro více čtenářů.
Praktický 30denní sprint připravenosti na audit
Pokud se CEO zeptá, zda může být organizace připravena na audit do 30 dnů, poctivá odpověď zní: můžete vytvořit věrohodný důkazní základ, pokud vedení sprint podpoří a rozsah bude realistický.
| Dny | Aktivita | Výstup |
|---|---|---|
| 1 až 3 | Potvrdit rozsah ISMS, regulované služby, zainteresované strany a povinnosti | Prohlášení o rozsahu, poznámka k použitelnosti NIS2, DORA a GDPR |
| 4 až 7 | Aktualizovat kritéria rizik, registr rizik a klíčové vlastníky rizik | Aktualizovaný registr rizik a priority ošetření rizik |
| 8 až 10 | Vytvořit plán interního auditu založený na rizicích | Schválený plán auditů a kontrolní seznam auditu |
| 11 až 17 | Provést auditní rozhovory, vzorkování a přezkum důkazů | Evidence důkazů, zjištění, pozitivní pozorování |
| 18 až 20 | Validovat zjištění s vlastníky a klasifikovat závažnost | Zpráva z auditu a registr neshod |
| 21 až 24 | Vytvořit evidenci CAPA s kořenovými příčinami, vlastníky a termíny | Schválený plán nápravných opatření |
| 25 až 27 | Připravit balíček pro přezkoumání vedením | Prezentace nebo zpráva s metrikami, riziky, incidenty a zdroji |
| 28 až 30 | Provést přezkoumání vedením a zaznamenat rozhodnutí | Zápis, evidence opatření, přijetí rizik, rozhodnutí o zdrojích |
Tento sprint nenahrazuje dlouhodobou vyspělost. Vytváří obhajitelný provozní základ. Skutečná hodnota vzniká tehdy, když organizace cyklus opakuje čtvrtletně nebo pololetně, nikoli pouze jednou ročně.
Častá selhání důkazů, která Clarysec nachází
Stejné slabiny se objevují v auditech SaaS, cloudových a fintech organizací:
- Plán auditů existuje, ale není založen na rizicích.
- Kontrolní seznam auditu testuje kapitoly ISO, ale ignoruje NIS2, DORA, GDPR a zákaznické povinnosti.
- Zápisy z přezkoumání vedením existují, ale neukazují rozhodnutí, přidělení zdrojů ani přijetí rizik.
- Záznamy CAPA uvádějí opatření, ale ne kořenovou příčinu.
- Zjištění jsou uzavřena bez ověření účinnosti.
- Přezkumy dodavatelů se provádějí, ale kritičtí dodavatelé nejsou odlišeni od dodavatelů s nízkým rizikem.
- Playbooky incidentů existují, ale nikdo neumí prokázat, že by fungoval workflow hlášení do 24 nebo 72 hodin.
- Zálohovací úlohy jsou zelené, ale testy obnovy nejsou doloženy důkazy.
- Přezkum přístupových práv je exportován, ale výjimky nejsou sledovány až do uzavření.
- Logy se shromažďují, ale nikdo neumí ukázat monitorování, eskalaci nebo reakci.
- Důkazy jsou uloženy v osobních složkách místo v řízeném repozitáři.
- Požadavky na uchovávání nejsou jasné nebo nejsou v souladu se zákaznickými smlouvami.
Tato selhání lze napravit. Vyžadují strukturovanou důkazní architekturu ISMS, nikoli shánění dokumentů na poslední chvíli.
Jak vypadá dobrý stav pro vedoucí orgán
Když se CISO vrátí k CEO a CFO, nejsilnější odpověď není „prošli jsme kontrolním seznamem auditu“. Je to:
„Máme schválený plán auditů. Provedli jsme interní audit založený na rizicích. Identifikovali jsme zjištění s objektivními důkazy. Schválili jsme CAPA s vlastníky a termíny. Eskalovali jsme významná rizika, incidenty, závislosti na dodavatelích a potřeby zdrojů do přezkoumání vedením. Namapovali jsme důkazy na ISO/IEC 27001:2022, NIS2, DORA a GDPR. Dokážeme doložit auditní stopu.“
Taková odpověď mění diskusi. CEO dává důvěru při jednání se zákazníky. CFO dává jasný obraz regulační expozice. Vedoucímu orgánu poskytuje obhajitelný záznam o dohledu. CISO poskytuje prioritizovaný plán namísto hromady nesouvisejících požadavků.
Především posouvá organizaci od předstíraného souladu k provozní odolnosti.
Další kroky s Clarysec
Váš další audit nemá být krizové shánění podkladů. Má být viditelným důkazem, že váš ISMS funguje, vedení je zapojeno a organizace je připravena na ISO 27001, NIS2, DORA, GDPR a ujištění zákazníků.
Clarysec vám může pomoci:
- Vytvořit plán interního auditu založený na rizicích pomocí Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint.
- Mapovat auditní důkazy prostřednictvím Zenith Controls: The Cross-Compliance Guide Zenith Controls.
- Zavést správu auditů pro SME nebo enterprise prostředí pomocí Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy-sme nebo Audit and Compliance Monitoring Policy Audit and Compliance Monitoring Policy.
- Připravit balíčky pro přezkoumání vedením sladěné s Information Security Policy Information Security Policy a očekáváními ISO/IEC 27001:2022 kapitola 9.3.
- Přeměnit zjištění na záznamy CAPA, rozhodnutí vedení a měřitelné zlepšení.
Stáhněte si toolkity Clarysec, objednejte si posouzení připravenosti nebo požádejte o demo a proměňte svůj další interní audit v důkazy připravené pro vedoucí orgán pro ISO 27001, NIS2, DORA a další požadavky.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
